ב"י לבנקים: הרחיבו את הגילוי על נזקים מהתקפות האקרים

בבנק ישראל מוטרדים מחדירת האקרים למערכות הבנקים (או בשם הרשמי - סיכונים קיברנטיים). הפיקוח על הבנקים, בראשות דודו זקן, פרסם לפני החג טיוטת חוזר, שבה דרש מהבנקים להרחיב את הגילוי במקרים של תקריות קיברנטיות על אודות מידת הנזקים ואמצעי הבקרה.

"בשנים האחרונות גברה התלות של הבנקים וחברות כרטיסי האשראי בטכנולוגיות מחשוב, ובעקבות זאת גברו סיכוני אבטחת מידע הבאים לידי ביטוי בתקריות קיברנטיות תכופות וחמורות יותר", כתבו בבנק ישראל.

בבנק המרכזי מציינים כי מתקפה קיברנטית עלולה להביא לגניבת נכסים פיננסיים, קניין רוחני או מידע רגיש אחר של הבנק או לקוחותיו. כמו כן, עלויות השיקום של מתקפה כזו עלולות להיות גבוהות. נוסף על כך, הבנק חשוף לתביעות משפטיות ולפגיעה במוניטין.

ביטוי מלא

מטיוטת החוזר עולה כי החל בדוחות השנתיים של 2012, הבנקים יצטרכו לדווח על תקרית קיברנטית, אם היא משפיעה על אחד ממגזרי הפעילות של הבנק. כמו כן, הבנקים יצטרכו לדווח על סיכוני אבטחה מהותיים, השלכותיהם, הדרך שבה הבנק מתמודד עמם והעלויות שלהם.

עוד יצטרכו הבנקים לפרט סיכונים הקשורים בתקריות קיברנטיות, במקרים שבהם התקרית לא מאותרת במשך פרק זמן ממושך, וכן יצטרכו לפרט את הכיסוי הביטוחי של הבנק במקרים השונים.

בנוסף, בנק ישראל דורש מהבנקים לתת ביטוי מלא לתקריות קיברנטיות בדוחות הכספיים. הדבר יבוא לידי ביטוי, לדוגמה, בהיוון עלויות תוכנה. במקרה שבו כבר אירעה תקרית קיברנטית, יידרשו הבנקים להכיר בירידת ערך של נכסים כמו מוניטין, נכסי חומרה או תוכנה, וכן להכיר חשבונאית בתמריצים שייתנו ללקוחות בכדי לא לאבד אותם.

חשש מתמשך

זו אינה הפעם הראשונה שבנק ישראל מביע את חששותיו מהשפעות של מתקפות האקרים על הבנקים. גם בדוח השנתי של בנק ישראל, שפורסם ביולי האחרון, נרשמה התייחסות לסוגיה זו. "לניסיונות תקיפה קיברנטיים על תשתיות של הבנקים עלולות להיות השלכות מהותיות על תפקודו של הבנק. במקרים קיצוניים, זה עלול אף להשבית את הבנק ולפגוע ביציבותו", נכתב בדוח.

התקרית המרכזית בהקשר זה שאירעה באחרונה הייתה בתחילת השנה. בתקרית זו התבצעו פריצות של האקרים מסעודיה לאתרים ישראליים, וכתוצאה מכך נחשפו מאות מספרי כרטיסי אשראי של לקוחות ישראלים.